浅谈企业内部控制审计
2011年第4期 作者:段端珍 阅读(6205)
【来源:《上海注册会计师》 查看本期目录】
2008年财政部等部委联合发布的《企业内部控制基本规范》以及2010年4月发布的《企业内部控制配套指引》,表明我国的内部控制规范体系基本形成,为企业建立健全内部控制制度及注册会计师的内部控制审计工作提供了指导。
我国要求创业板上市公司要有经会计师事务所签发的无保留意见的内部控制审计报告,2011年起分阶段实施的内部控制规范体系也将择机在中小板和创业板上市公司中施行,这意味着内部控制审核到强制性内部控制审计的转变。
一、内部控制审核到强制性内部控制审计的变革内容
(一)鉴证目标:由有限保证向合理保证转变
在内部控制审核阶段,内部控制鉴证的目标是将业务风险降低至该业务环境下可接受的水平,当风险水平高于合理保证业务,作为对管理层结论消极发表意见的基础。在内部控制审计阶段,内部控制鉴证的目标是将内部控制鉴证业务风险降低至该业务环境下可接受的低水平,作为对管理层结论积极发表意见的基础。简而言之,内部控制审核提供的是有限保证,而内部控制审计提供的是合理保证。
(二)鉴证业务类型:由信息鉴证向行为或过程鉴证转变
1.这种转变在实现内部控制鉴证的前提下使制度的实施成本最低。内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部控制。自2010年配套指引出台以来,很多中型以上公司或集团公司在没有强制性内控制度审计的要求下,也委托外部会计师事务所进行内控制度审计,给企业财务报告提供了良好的环境。
2.这种转变有利于划清管理层与注册会计师的责任。管理层内部控制评价报告针对的是内部控制整体,现时注册会计师关于内部控制有效性的审计意见主要针对财务报告内部控制。将内部控制鉴证作为对管理层内部控制评价报告的鉴证,不利于分清管理层与注册会计师的责任。
(三)鉴证范围:由内部会计控制向财务报告内部控制转变,鉴证范围存在进一步拓展的趋势
就鉴证范围而言,为了满足监管者的要求,内部控制审核与内部控制审计都是将焦点集中于与会计有关的内部控制上。但在内部控制审核阶段,内部控制鉴证的范围主要是内部会计控制;在内部控制审计阶段,内部控制鉴证的范围主要集中于财务报告内部控制。
(四)鉴证标准:由内部控制制度经内部控制结构向内部控制整合框架转变
(五)鉴证方法:由“自下而上”的思路向“自上而下、风险导向”的思路转变
“自下而上”的内部控制鉴证方法采用了简化主义的认知模式,认为整体是部分的简单相加,通过对部分的了解和评价就可以得出关于总体的结论。在这种认知模式下,注册会计师将主要精力集中于业务流程层面上,试图通过对业务流程层面内部控制的了解、测试与评价来得出对企业整体层面内部控制的结论。
“自上而下”内部控制方法认为整体并非部分的简单相加,通过对部分的了解,可能无法获得对整体的了解。在这种认知模式下,注册会计师首先就应测试控制环境和了解财务报表,识别和评估重大错报风险;然后基于风险评估的结果,注册会计师就应识别需要测试的重要账户和经营流程。最后,再对流程和账户的内部控制进行测试和评价。
(六)鉴证报告:由自愿性披露向强制性披露的转变
在内部控制审核阶段,内部控制鉴证业务一般是出于自愿而非法律所强制,管理层内部控制自评报告和注册会计师的内部控制鉴证报告是否披露也是自愿的。
2002年美国国会发布了《萨班斯—奥克斯利法案》。该法案要求,公司首席执行官、首席财务官或类似职能财务人员必须书面声明对内控设计和执行的有效性负责,并要求对外披露经注册会计师审计的管理层对财务报告内部控制的评价报告。许多国家也借鉴了美国的做法。这意味着公司管理层的内部控制自评报告以及注册会计师的内部控制鉴证报告由以前的自愿性披露改为强制性披露。
二、企业内控制度在执行中存在的主要问题
(一)管理层方面
我国部分企业对内部控制制度不够重视,以致于内部控制的基础十分薄弱。单位负责人行政干预各项工作,致使控制制度流于形式,不能很好的发挥监督职能。
(二)内控制度建设方面
目前,我们大多数企业都建立了相关的内部控制制度,但总体来说,我国企业的内部控制制度比较零散,从总体上看,缺乏科学性和连贯性;有些企业建立的内控制度相互脱节,各自为政,和具体需要差距很大;有些企业没有严格的监督机制来保障实施,内控制度形同虚设,不能有效施行。
(三)存货管理方面
大部分企业仓库管理制度不够规范、健全,存在许多问题,如:不相容职责分工有限,保管仓库库存商品的人同时又记录库存商品的进、销、存;财务库存账与实际库存记录不核对;月末不盘点等。
(四)合同管理方面
一般企业在合同管理方面存在合同不编号,或者编号不规范,每年编号的方法不一样,编号不连续等情况。
(五)预算管理方面
一些企业不开展预算工作,根据实际支出及收入进行财务核算,既起不到控制现金与管理现金的作用,也不能对公司前景进行预测。
(六)成本费用控制方面
企业一般存在着费用成本居高不下的问题。由于成本费用控制不严,为了降低税收,存在多报销成本费用,将管理层个人支出也进行报销的行为。如何采取实质性的措施,降低费用成本、提高盈利能力成为公司生存、发展的关键。
三、注册会计师审计内部控制的要点
1.评价企业层面控制
内部控制的有效性很大程度上取决于管理层的理念及重视程度,而大部分企业的经营管理者对内部控制制度不了解,不重视公司的整体治理,对高管的制约能力差,决策权相对集中。因此,控制环境对于评价企业内部控制的有效性尤为重要。在审计业务承接前要进行相应的风险评估。
2.评价管理层凌驾于控制之上的风险
所有企业都存在管理层凌驾于控制之上的内险。对此,注册会计师应实施的程序有:
(1)评价管理层的鉴管。注册会计师可以检查董事会及审计委员会的活动和会议记录,检查股东会决议及董事会决议,以评价管理工作层凌驾于控制之上的内险。
(2)评价财务处理控制。注册会计师应对财务处理控制中的风险进行评价,如测试日常核算中的会计分录及调整分录、复核会计估计是否有失公允、评价重要的异常交易的合理性、复核会计政策是否得到一贯的执行,变更会计政策是否存在操控等。如果存在审计风险,注册会计师可以不承接该业务,以避免自身的风险。
(3)评价职责分开。职责分开是指在不同的员工之间划分不相容职务以减少重大错报的风险。穿行测试有助于识别企业是否实现了职责分开。比如:请购与审批,询价与确定供应商等职务应当要进行相互分离。
(4)信息技术控制审计。IT环境的复杂程度对错报的风险及应对风险的控制有显著的影响。目前,大部分的企业均采用财务软件核算,审计员在审计时应先对财务软件环境进行评估测试。信息化使审计工作环境发生了变化,因此培养复合型审计人员、提高审计人员的综合素质是保障审计工作质量的关键。
(5)评价企业的财务报告胜任能力。被审计单位的财务报告胜任能力对财务报告的可靠性有重要影响。审计人员应将审计报告中的每个数据与账簿进行核对。
作者单位:上海上咨会计师事务所
